La piattaforma decentralizzata di trading con leva Futureswap è stata sfruttata per la seconda volta in quattro giorni, con gli hacker che questa volta hanno rubato circa 74.000 dollari.
La società di sicurezza blockchain BlockSec Phalcon ha divulgato il secondo attacco su X, rivelando che gli aggressori avevano sfruttato una nuova vulnerabilità nello stesso contratto preso di mira pochi giorni prima. La società di sicurezza ha sottolineato che “sebbene la perdita non sia elevata, la parte interessante è che è emersa una nuova superficie di attacco: una vulnerabilità di reentrancy.”
L’attaccante ha utilizzato un processo in due fasi che coinvolge il periodo di cooldown obbligatorio di tre giorni di Futureswap per drenare sistematicamente i fondi.
Secondo Phalcon, la piattaforma di rilevamento delle minacce di BlockSec, l’attaccante è prima rientrato nella funzione 0x5308fcb1 prima che il contratto aggiornasse la propria contabilità interna. Successivamente, “l’attaccante ha coniato una quantità eccessiva di LP token rispetto agli asset effettivamente depositati.”
Dopo aver atteso il periodo di cooldown per il prelievo, l’attaccante ha bruciato i token creati illecitamente per riscattare la garanzia sottostante, sottraendo di fatto asset dal protocollo insieme al profitto.
Futureswap subisce il terzo attacco in un solo mese
L’ultimo attacco arriva pochi giorni dopo che la piattaforma aveva perso oltre 395.000 dollari in un exploit rilevato dal radar di BlockSec Phalcon. Gli hacker coinvolti in quell’attacco hanno sottratto fondi attraverso molteplici operazioni changePosition. L’incidente sembrava correlato a cambiamenti inattesi nella contabilità di stableBalance durante gli aggiornamenti delle posizioni, che successivamente hanno permesso il rilascio di USDC durante la rimozione della garanzia.
Futureswap ha subito anche un attacco di governance nel dicembre 2025, che ha fruttato agli hacker almeno 830.000 dollari. In quell’occasione, gli hacker hanno utilizzato un flash loan per prendere in prestito temporaneamente token di governance, ottenendo così il potere di voto necessario per approvare una proposta dannosa che trasferiva fondi dal protocollo.
Finora Futureswap ha perso complessivamente oltre 1 milione di dollari in tre attacchi distinti che hanno sfruttato diverse vulnerabilità della piattaforma.
I protocolli DeFi legacy sotto assedio
Gli incidenti di Futureswap fanno parte degli oltre 27 milioni di dollari persi a causa degli hacker che continuano a prendere di mira le piattaforme DeFi legacy nel 2026.
Altri protocolli basati su Arbitrum hanno subito sorti simili nelle ultime settimane. All’inizio di gennaio, USDGambit e TLP hanno perso 1,5 milioni di dollari quando gli hacker hanno ottenuto l’accesso da amministratore e distribuito smart contract dannosi. TMX Tribe ha subito un exploit da 1,4 milioni di dollari, mentre la IPOR Fusion USDC vault ha perso 336.000 dollari a causa di una vulnerabilità in un contratto legacy, anche se ha promesso di rimborsare completamente gli utenti colpiti.
Nonostante le violazioni della sicurezza che hanno colpito i protocolli basati su Arbitrum, la blockchain layer-2 detiene ancora oltre 3,1 miliardi di dollari in total value locked nella DeFi, il che secondo alcuni analisti rappresenta uno dei motivi per cui è un obiettivo attraente per gli aggressori.
La rete è rimasta tra le prime posizioni tra le soluzioni Ethereum Layer-2 in termini di total value locked dal suo lancio nel 2021.
Cosa sta succedendo nel campo di Futureswap?
Nessun membro del team di Futureswap ha rilasciato dichiarazioni sugli exploit. L’ultimo post sull’account X della piattaforma risale al 2023 e si dice che il protocollo sia stato revisionato l’ultima volta nel 2021.
Il caso solleva interrogativi difficili sulla responsabilità quando i protocolli vengono abbandonati ma continuano a detenere i fondi degli utenti. Gli esperti di sicurezza raccomandano ai team di deprecare correttamente e chiudere i vecchi contratti oppure di effettuare nuovi audit di sicurezza e verificare il codice sorgente.
Nel frattempo, agli utenti si consiglia di ritirare gli asset da contratti più datati che mostrano segni di abbandono.
Le menti più brillanti delle crypto leggono già la nostra newsletter. Vuoi unirti a loro? Iscriviti.
